Обнаружена новая модификация трояна Carberp

Вредонос предназначен для сбора информации, но может выполнять и другие задачи.

Специалисты ИБ-компании Symantec обнаружили новую модификацию трояна Carberp, созданную для похищения важной информации с инфицированных устройств. Первая вредоносная спам-кампания, распространяющая троян, была зафиксирована экспертами 15 декабря прошлого года.

Так же как его предшественники, вредонос Carberp.C предназначен для сбора информации, но может выполнять и другие задачи при помощи плагинов, внедренных во вновь созданный процесс (svchost.exe). Один из плагинов, проанализированных специалистами, выполняет перехват вызовов API с целью кражи имен пользователей, паролей и других важных данных из web-браузеров.

Вредонос способен заражать как 32-битные, так и 64-битные системы. Его создатели также разработали плагины для различных процессорных архитектур.

Троян распространяется в спам-сообщениях, замаскированных под счета-фактуры. К уведомлению прикреплен архивный файл .ZIP, в котором находится троян-дроппер. Попадая в систему, дроппер внедряет код в процесс Windows, после чего проводит расшифровку и распаковку содержащихся в нем компонентов. Одним из таких элементов является легитимный драйвер Windows MyFault, который, по словам специалистов, используется злоумышленниками для осуществления сбоя в работе инфицированного устройства в случае проведения анализа угрозы. Другой компонент - это загрузчик, незаметно загружающий функциональную часть трояна.

Судя по всему, основной целью злоумышленников является Австралия, хотя специалисты зафиксировали случаи инфицирования в Северной Америке и других странах.